Evaluación de impacto y autorización previa de las autoridades de control en el futuro reglamento europeo de protección de datos personales (2/2)

por

publicado el 9 octubre 2013

Categorías: Abogado / Abogados nuevas tecnologías / Agencia Proteccion Datos / Derechos Fundamentales / LOPD / Normativa / Protección de Datos

La semana pasada analizábamos dentro del articulado del «futuro» reglamento europeo de protección de datos la necesidad para determinados tratamientos de datos de un informe de evaluación de impacto del tratamiento de datos que se vaya a realizar. Ahora toca revisar lo correspondiente a la autorización previa de las autoridades de control para diversos tratamientos de datos. Se produce un cambio sustancial, como comentamos, de un sistema de control a posteriori (en caso de inspección, sanción, etc.) o como mucho de consultas a la Agencia Española de Protección de Datos, consultas en su caso que no son vinculantes, se pasa a la necesidad de autorización previa para poner en el mercado el tratamiento de ciertos tipo de datos.

El artículo 34 del reglamento establece cuando será necesario obtener la autorización previa de la autoridad de control, autorización que podrá ser obtenida tanto por el responsable como por el encargado de tratamiento, en su caso, será necesario:

  • cuando un responsable o un encargado adopten cláusulas contractuales de transferencias internacionales de datos, o no ofrezcan garantías apropiadas en un instrumento jurídicamente vinculante que rija la transferencia de datos personales a un tercer país o una organización internacional.
  • cuando una evaluación del impacto en la protección de los datos indique que es probable que las operaciones de tratamiento, por su naturaleza, alcance o fines, entrañen un elevado nivel de riesgos específicos
  • cuando la autoridad de control considere necesario proceder a una consulta previa en relación con las operaciones de tratamiento que probablemente entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance y/o fines, y hayan sido especificadas en una lista realizada por la autoridad de control.
  • La autoridad de control establecerá y publicará una lista de las operaciones de tratamiento que deben ser objeto de una consulta previa. La autoridad de control comunicará estas listas al Consejo Europeo de Protección de Datos.
Esto es, que en un futuro próximo aquellos responsables que quieran desarrollar aplicaciones que afecten a los datos más sensibles de las personas, seguramente tendrán que previamente realizar la evaluación de impacto de los tratamientos y solicitar previamente autorización a las autoridades de control. Si el reglamento se aprueba tal y como está veremos en la práctica cómo se aplica y si puede resultar un sistema gravoso para la innovación tecnológica que se basa en la rapidez de desarrollo, lanzamiento al mercado y respuesta. Quizá, pueda resultar otra vez una medida que si bien protege a los ciudadanos de la Unión Europea (y a los demás en función que se utilice esa tecnología en otros países), puede ser un lastre para las empresas en un mercado global y de rapidísima acutación y asimilación. Veremos.